开源安全一团糟 - IBM和红帽押注50亿美元和2万名工程师能修复它

开源软件的安全性正面临严峻挑战。一方面，AI可以帮助开发者更快地编程和发现错误；另一方面，维护者被大量潜在严重的安全报告淹没。流行开源数据传输程序cURL的创始人兼维护者Daniel Steinberg表示，2025年安全报告的涌入速度是2024年的四到五倍，他首次承认自己工作过度，接近精疲力竭，并呼吁更多公司提供资金支持。

如今，IBM及其子公司红帽响应了这一呼吁。他们宣布启动Project Lightwell，一个被描述为“首个此类力量”的AI驱动计划，旨在以前所未有的规模发现和修复开源软件中的漏洞。该项目旨在成为确保企业IT所依赖的开源组件安全的实际中央枢纽。

值得注意的是，Lightwell并不会直接向上游开发者支付费用。相反，它为IBM和红帽的工程师提供AI工具，用于处理关键业务的开源项目，并尽可能确保其安全。由于Anthropic的Mythos Preview模型在短短几周内已在开源软件中识别出近3900个严重安全漏洞，对更快修复的迫切需求显而易见。为此，两家公司将在未来几年投资50亿美元，部署前沿AI模型、工具，并组建一个专门处理开源安全的全球工程团队。此外，还将派出2万名工程师，将开源风险视为一级供应链问题。

Project Lightwell的核心是一种新的运营模式，旨在弥合企业与构建他们依赖的软件的上游社区之间的鸿沟。与推出另一个漏洞赏金计划或代码扫描服务不同，IBM和红帽将Lightwell定位为一个可信的中间人。企业将向该计划提供他们运行的开源软件信息，然后Lightwell工程师使用AI寻找缺陷并提出修复方案，最后与上游维护者合作，将补丁合并并发布。

该项目将整合目前分散在内部安全团队、第三方扫描器和社区维护者中的多个功能，包括大规模漏洞发现、分类与优先级排序、补丁开发、向后移植，以及企业实际部署的特定版本的长期生命周期支持。如果一切顺利，这种方法将把零散的手动修复转变为高吞吐量的修复管道。

IBM董事长兼首席执行官Arvind Krishna表示：“通过Project Lightwell，IBM和红帽正在帮助定义一种新的行业模式，这种模式结合了AI、工程专业知识和可信协作，在源头和整个供应链中保护开源软件。”

Lightwell将首先从Maven/Java生态系统开始，即使在AI出现之前，该系统就已遭受大量滥用。随后将扩展至PyPI、npm、Go等其他重要开源代码库。IBM最新的AI模型将驱动Lightwell，这些系统经过训练，能够扫描大量代码库、依赖关系图和配置档案，以寻找潜在漏洞，然后生成候选补丁，由人类工程师验证后再推向上游或客户环境。

两家公司强调，这种人在回路的（human-in-the-loop）方法对于AI处理安全关键代码至关重要。模型可以发现人类审查员永远没有时间覆盖的模式和问题，但关于什么是安全且可接受的修复的最终决定将由经验丰富的工程师和项目维护者做出。在实践中，Lightwell在社区眼中将是一个特别庞大且组织良好的贡献者，而不是一个投递未经请求的拉取请求的不透明自动化层。

对于红帽来说，Project Lightwell扩展了他们几十年来磨练的剧本，即获取上游开源，加固并支持企业使用，然后将改进推回社区。不同之处在于范围。红帽的传统模式主要集中在自己的产品平台，如RHEL、OpenShift和Ansible，而Lightwell将瞄准那些悄悄支撑着从银行系统到AI管道的各种应用的庞大长尾库、框架和工具。

两家公司表示，Lightwell工程师将提交问题、提出补丁、并与现有项目领导者共同维护关键组件，而不是分叉或替代它们。当上游维护者不同意一个修复方案或拒绝支持旧分支时，Lightwell仍将能够为其客户携带加固的向后移植补丁。但IBM和红帽坚持默认路径是优先上游，该中间人充当企业生产需求与社区发布节奏之间的桥梁。

同时，IBM和红帽明确指出：“这些功能将通过商业订阅提供，使企业能够将经过验证的补丁直接集成到其现有的软件供应链中，并辅以企业级验证和生命周期管理。”这些订阅被定位为现有软件供应链的叠加层，而不是一个新的发行版。Lightwell将插入企业已经使用的CI/CD、注册表和SBOM流程，通过API、目录和集成提供经过验证的修复和策略决策。

IBM软件高级副总裁Rob Thomas告诉路透社：“该服务将在未来30天内作为商业产品推出。”订阅可能根据使用的软件包数量定价，为客户提供“来自中间人的批准印章，证明他们的开源软件可以安全地用于生产环境。”

然而，上游开源开发者及其企业如何适应这种新方法？这个拟议的可信企业中间人是否会成为大公司的事实上的守门人？如果所有补丁都归入上游仓库，客户到底在为什么付费？这些都是很好的问题，但目前还没有明确的答案。请继续关注。